如何建立一个的SERVER的启动账号
来源:互联网 发布:java super 编辑:程序博客网 时间:2024/05/21 17:41
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
SQLSERVER的安全问题一直是困扰DBA的一个难题,作为开发者和用户希望自己的权限越大越好,最好是sa,而作为DBA希望所有的用户权限越小越好,这总是一对矛盾。一般来说,我们会考虑采用WINDOWS验证模式,建立安全的用户权限,改变SQLSERVERTCP/IP的默认端口...等安全措施,但很多DBA还是忽略了SQLSERVER服务的启动账号,这也是一个非常值得重点关注的问题。特别是SQLSERVER提供了许多和扩展存储过程,比如:xp_cmdshell,xp_regdeletekey,xp_regdeletevalue等等。
我们先来回顾一下SQLSERVER执行这些扩展存储过程的步骤。SQLSERVER提供的扩展存储过程使你可以向T-SQL一样调用一些动态链接库的内部函数逻辑,而且这些扩展存储过程可以包括WIN32和COM的大多数功能。
当关系引擎确定Transact-SQL语句引用扩展存储过程时:
关系数据库引擎将扩展存储过程请求传递到开放式数据服务层。
然后开放式数据服务将包含扩展存储过程函数的DLL装载到2000地址空间(如果还没有装载)。
开放式数据服务将请求传递到扩展存储过程。
开放式数据服务将操作结果传递到数据库引擎。
从上图中我们可以清楚的看到SQLSERVER2000的数据库引擎通过扩展存储过程和WindowsResources进行交互。而扩展存储过程可以完成处理操作系统任务的关键是要有一个自己的身份SID,这个SID就来自SQLSERVER服务启动账号。所以如果这个SQLSERVER服务启动账号是administrators组的用户,我们就可以通过这些扩展存储过程做任意想做的事情:删除系统信息,破坏注册表等等。如果我们限制SQLSERVER服务启动账号的权限,这样即使“”或怀有恶意的开发人员获得数据库的管理员权限,也不会对操作系统造成很大的影响。只要有数据库的备份我们可以非常方便的恢复数据库,而不要重新安装系统。所以为了更安全的保护我们的系统,我们希望SQLSERVER服务启动账号的权限越低越好。
作为系统的一个服务,启动SQLSERVER2000服务的用户账号也需要一些必要的权限,下面我们就通过一个具体的实例来解释这些权限(本实例只针对成员服务器,如果是DC和启动了活动目录ActiveDirectory还需要其它的配置):
1. 通过本地用户管理,建立一个本地用户sqlSERVER,密码:123456;
2. 如果现在就我们打开SERVICES配置通过该用户启动,系统会报错误:
Source:ServiceControlManagerEventID:7000Description:The%service%servicefailedtostartduetothefollowingerror:Theservicedidnotstartduetoalogonfailure.NoDatawillbeavailable.
这是因为作为一个普通用户是无法启动服务的,我们需要给sqlSERVER用户分配必要的权限。
SQLSERVER服务启动账号必须有3个基本权限:
l 数据库本地目录的读写权限;
l 启动本地服务的权限;
l 读取注册表的权限;
3. 赋予sqlSERVER用户SQL目录的读写权限;
因为我的SQLSERVER是安装在D盘,所以我在权限管理中,将D:/PROGRMAMFILE/MicrosoftSQLSERVER/MSSQL读写权限赋予sqlSERVER用户。
4. 分配sqlSERVER用户启动本地服务的权限;
这个比较复杂,我只举例作为成员服务器的情况。
l 启动“LocalSecuritySetting”MMC管理单元。
l 展开LocalPolicy,然后单击UserRightsAssignment。
l 在右侧窗格中,右键单击LogonasService,将用户添加到该策略,然后单击OK。1
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 160x600, 创建于 08-4-23MSDN */google_ad_slot = "4367022601";google_ad_width = 160;google_ad_height = 600;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
SQLSERVER的安全问题一直是困扰DBA的一个难题,作为开发者和用户希望自己的权限越大越好,最好是sa,而作为DBA希望所有的用户权限越小越好,这总是一对矛盾。一般来说,我们会考虑采用WINDOWS验证模式,建立安全的用户权限,改变SQLSERVERTCP/IP的默认端口...等安全措施,但很多DBA还是忽略了SQLSERVER服务的启动账号,这也是一个非常值得重点关注的问题。特别是SQLSERVER提供了许多和扩展存储过程,比如:xp_cmdshell,xp_regdeletekey,xp_regdeletevalue等等。
我们先来回顾一下SQLSERVER执行这些扩展存储过程的步骤。SQLSERVER提供的扩展存储过程使你可以向T-SQL一样调用一些动态链接库的内部函数逻辑,而且这些扩展存储过程可以包括WIN32和COM的大多数功能。
当关系引擎确定Transact-SQL语句引用扩展存储过程时:
关系数据库引擎将扩展存储过程请求传递到开放式数据服务层。
然后开放式数据服务将包含扩展存储过程函数的DLL装载到2000地址空间(如果还没有装载)。
开放式数据服务将请求传递到扩展存储过程。
开放式数据服务将操作结果传递到数据库引擎。
从上图中我们可以清楚的看到SQLSERVER2000的数据库引擎通过扩展存储过程和WindowsResources进行交互。而扩展存储过程可以完成处理操作系统任务的关键是要有一个自己的身份SID,这个SID就来自SQLSERVER服务启动账号。所以如果这个SQLSERVER服务启动账号是administrators组的用户,我们就可以通过这些扩展存储过程做任意想做的事情:删除系统信息,破坏注册表等等。如果我们限制SQLSERVER服务启动账号的权限,这样即使“”或怀有恶意的开发人员获得数据库的管理员权限,也不会对操作系统造成很大的影响。只要有数据库的备份我们可以非常方便的恢复数据库,而不要重新安装系统。所以为了更安全的保护我们的系统,我们希望SQLSERVER服务启动账号的权限越低越好。
作为系统的一个服务,启动SQLSERVER2000服务的用户账号也需要一些必要的权限,下面我们就通过一个具体的实例来解释这些权限(本实例只针对成员服务器,如果是DC和启动了活动目录ActiveDirectory还需要其它的配置):
1. 通过本地用户管理,建立一个本地用户sqlSERVER,密码:123456;
2. 如果现在就我们打开SERVICES配置通过该用户启动,系统会报错误:
Source:ServiceControlManagerEventID:7000Description:The%service%servicefailedtostartduetothefollowingerror:Theservicedidnotstartduetoalogonfailure.NoDatawillbeavailable.
这是因为作为一个普通用户是无法启动服务的,我们需要给sqlSERVER用户分配必要的权限。
SQLSERVER服务启动账号必须有3个基本权限:
l 数据库本地目录的读写权限;
l 启动本地服务的权限;
l 读取注册表的权限;
3. 赋予sqlSERVER用户SQL目录的读写权限;
因为我的SQLSERVER是安装在D盘,所以我在权限管理中,将D:/PROGRMAMFILE/MicrosoftSQLSERVER/MSSQL读写权限赋予sqlSERVER用户。
4. 分配sqlSERVER用户启动本地服务的权限;
这个比较复杂,我只举例作为成员服务器的情况。
l 启动“LocalSecuritySetting”MMC管理单元。
l 展开LocalPolicy,然后单击UserRightsAssignment。
l 在右侧窗格中,右键单击LogonasService,将用户添加到该策略,然后单击OK。1
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 160x600, 创建于 08-4-23MSDN */google_ad_slot = "4367022601";google_ad_width = 160;google_ad_height = 600;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
- 如何建立一个安全的MSSQL SERVER的启动账号
- 如何建立一个的SERVER的启动账号
- 如何建立一个的SERVER的启动账号?
- 如何建立一个安全的MSSQL SERVER的启动账号?
- 建立的SERVER启动账号
- 如何快速建立一个优秀的账号体系
- 如何快速建立一个优秀的账号体系
- [SQL Server] 如何查询windows认证的用户连接数据库时的"权限/对应的登陆账号"(该账号是一个windows组)
- 如何打造一个可以无限注册账号的手机
- 如何建立一个 XML 的开发环境
- 如何建立一个XML的开发环境
- 如何建立一个 XML 的开发环境
- 如何建立一个XML的开发环境
- 如何建立一个 XML 的开发环境
- 周鸿祎:如何建立一个“铁打的营盘”?
- 如何建立一个用户关注的网站
- 如何建立一个更大的四扫
- 如何建立一个更大的四扫
- Axis开发Web Service实例
- Characterset字符集
- 关于CList对象在DLL中的使用问题
- 收藏几段语句和存储过程
- 使用SOAP开发java
- 如何建立一个的SERVER的启动账号
- 构件化生产带来的两场战争
- BCB6sp4+2k存取JPEG图像,绝对好用!
- 关于Hibernate的工作原理
- 两台SqlServer数据同步解决方案
- 用户如何有效地利用数据字典
- 使用跟踪事件10046
- PL/SQLDEVELOPER6模板备份与迁移(原创)
- 饮食和性格有关:易怒者应多喝牛奶